freee株式会社が「Assured」を導入
CSIRT協会加盟・上場企業のセキュリティ向上事例

吉本氏：
全国約33万のスモールビジネスのバックオフィス業務を支えるfreeeは、社内外の情報の取扱いに創業時から細心の注意を払ってきました。金融機関と同等レベルのセキュリティを構築するため、国際的な認証の取得などの取り組みもしています。
組織体制としては、CISO（Chief Information Security Officer / 最高情報セキュリティ責任者）を早い段階から設置し、データのセキュリティ・安定性・機密性を重視してきました。更に、CSIRT・PSIRTというセキュリティ専任組織を設置し、職種に関わらず従業員全員が参加するセキュリティ障害訓練などを定期的に実施しています。

クラウド活用に関しては、当社は、クラウドサービスをお客様に提供する事業者であると同時に、自社内においても様々なクラウドサービスを積極的に活用しています。社内のクラウド活用においては、セキュリティの安全面を徹底するため、セキュリティ専任組織にてリスク評価を行ってきました。

吉本氏：
安全面を担保すると同時に、急成長を続ける事業のスピードにも対応していかなくてはいけません。サービス導入を迅速に進めるため、評価項目を重要性が高く優先度の高いものに絞り、スピーディーな審査が出来るように取り組んできました。

そんな中、2022年4月に新たなCISOに、メガベンチャーでセキュリティ部門立ち上げ等に貢献してきた茂岩 祐樹が就任したこともきっかけに、より一層のセキュリティ体制強化に向けた取り組みを進めています。クラウド活用においても、社内で利用するサービスが増えてきたこともあり、評価品質の向上を図っていくことになりました。

その一方で、評価品質を高めるためには、更なる工数が発生し、専門的なノウハウも必要となります。これを仕組みで解決できるものはないかと探していたところ、Assuredを知りました。

吉本氏：
1つ目に、専門家による第三者評価を得られるため、評価の品質向上を実現できることです。クラウドサービスのリスク評価を適切に行うには、様々な観点における専門知識が必要です。例えば、ソフトウェアの場合、ドライバーの技術背景の確認などコードによる技術的解釈が可能ですが、SaaSなどのクラウドサービスにおいては、データの扱いに関わる法的な解釈が必要になり、これが非常に難しいのです。データにまつわる法律の理解や解釈の範疇が人によって異なるため、属人的な評価に頼らざるを得なくなってしまいます。また、こうした法律やガイドラインは、社会情勢に合わせて随時改訂されます。それらを全てキャッチアップし、評価に組み入れていくことは困難でした。Assuredを活用することで、専門家による中立的な第三者評価情報を得られ、また最新の状況に合わせて情報更新がされるため、評価基準の統一及び品質向上に繋げられることに魅力を感じました。

2つ目に、工数削減により、より本質的なセキュリティ対策に時間を割けるということです。網羅性や評価品質を高めようとすると、専門知識の有無に関わらず、担当者の工数負担が重くのしかかります。当社はIT企業でもあることから、社員が利用したいと思う外部サービスも多く、このサービスを利用したいという申請は年間400件程度に登ります。これらを一つ一つ審査し、各サービスの日々の更新情報を追っていくには膨大な工数が発生します。この評価業務をAssuredのプラットフォーム上で完結することで、大幅な工数削減に繋がるとともに、その時間を他の施策に割くことで、より高いレベルでのセキュリティ対策を実現できると感じました。

3つ目に、リスク評価基準の統一化を目指したいというAssuredの世界観に共感したことです。
現状、クラウドサービスにおけるリスク評価に統一化された基準はありません。そのため、各社が独自にリスク評価を行い、属人的な判断をせざるを得ません。そうした評価プロセスは非効率でクラウド活用推進の足かせにもなっています。Assuredがプラットフォーム上で世の中のクラウドサービスのリスク評価情報を集約することで、評価基準を統一化させていくことが可能だと思いますし、それにより、クラウドを利用する企業、提供する事業者にとって、大きなメリットになると期待しています。